憑證的相關資料 (例如信任的根憑證、交互憑證,以及憑證撤銷清單 (CRL)) 必須定期更新。系統管理員可透過網路抓取及路徑驗證設定來執行下列動作:
-
自動更新 Microsoft 根憑證計劃中的憑證。
-
設定 CRL 和路徑驗證的抓取逾時值 (如果網路狀況不佳,則使用較大的預設值為佳)。
-
路徑驗證期間,啟用簽發者憑證抓取。
-
定義下載交互憑證的頻率。
這個主題包括下列工作的程序:
管理 CRL 抓取
取得及時憑證撤銷資料對於確保憑證使用的安全性而言十分重要。然而,如果憑證撤銷資料及交互憑證的驗證檢查及抓取,因為超出原始預期的資料傳輸量而造成逾時,則可能會造成問題。
系統管理員可利用公開金鑰群組原則中的網路抓取選項來管理網路抓取逾時值。
增加本機電腦之較大 CRL 的抓取逾時選項
若要完成此程序,至少需要 Administrators 群組成員資格。
增加本機電腦之較大 CRL 的抓取逾時選項 |
按一下 [開始],在 [搜尋程式及檔案] 方塊中輸入 gpedit.msc,然後按 ENTER。
在 [本機電腦原則\電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [網路抓取] 索引標籤。
選取 [定義這些原則設定] 核取方塊。
在 [預設抓取逾時設定] 下,在 [預設 URL 抓取逾時 (秒)] 方塊中輸入逾時值,然後按一下 [確定] 套用新設定。
增加網域之較大 CRL 的抓取逾時選項
若要完成此程序,至少需要 Domain Admins 群組成員資格。
增加網域之較大 CRL 的抓取逾時選項 |
按一下 [開始],指向 [系統管理工具],然後按一下 [伺服器管理員]。
按一下 [功能摘要] 下的 [新增功能]。選取 [群組原則管理] 核取方塊後按 [下一步],然後按一下 [安裝]。
等到 [安裝結果] 頁面顯示已順利安裝群組原則管理主控台 (GPMC) 後,按一下 [關閉]。
按一下 [開始],並指向 [系統管理工具] 後,再按一下 [群組原則管理]。
在主控台樹狀目錄中,請在內含您要編輯的 [預設網域原則] 群組原則物件 (GPO) 的樹系和網域中,按兩下 [群組原則物件]。
在 [預設網域原則] GPO 上按一下滑鼠右鍵,然後按一下 [編輯]。
在 [電腦設定\Windows 設定\安全性設定] 下的主控台樹狀目錄中,按一下 [公開金鑰原則]。
按兩下 [憑證路徑驗證設定] 後,按一下 [網路抓取] 索引標籤。
選取 [定義這些原則設定] 核取方塊。
在 [預設抓取逾時設定] 下,在 [預設 URL 抓取逾時 (秒)] 方塊中輸入逾時值,然後按一下 [確定] 套用新設定。
其他參考資料